2006/08/05 私立大学情報教育協会 平成18年度(2006年度) 大学情報セキュリティ研究講習会 B-2 ネットワーク運用管理コース http://www.juce.jp/sec2006/

1. 社団法人私立大学情報教育協会
大学における
ユーザ認証
東海大学総合情報センター
横田 秀和

2. 社団法人私立大学情報教育協会
コンピュータ室
電子メール
無線LAN
(情報コンセント)
鍵の貸し出し
図書の貸し出し
証明書発行
食堂・売店
e-Learning
グループウェア
事務端末
大学における認証の場面
学生
教員 職員
勤務管理
履修登録
成績処理
会計処理
研究業績 学籍情報
人事情報研究室のPC
入退室管理
授業の出欠
ポータルサイト
コンピュータ室
電子メール
無線LAN
(情報コンセント)
e-Learning
グループウェア
事務端末
研究室のPC
ポータルサイト
勤務管理
履修登録
成績処理
会計処理
研究業績 学籍情報
人事情報
鍵の貸し出し
図書の貸し出し
証明書発行
食堂・売店
入退室管理
授業の出欠

3. 社団法人私立大学情報教育協会
認証システムの選択肢
システム 登録方法 特徴 問題点
対面 不要 モノ･カネが不要 ヒトが必要
ユーザID
＋パスワード
ID・パスワードを
予め生成して登録
本人の記憶を利用
現在のPCで一般的
パスワード忘却
なりすまし
磁気カード
(＋暗証番号)
カード・暗証番号を
予め生成して登録
本人の持つものと記憶を利用
銀行のATM/CDで一般的
読取装置が必要
カードの盗難・偽造(暗証番号忘却)
なりすまし
ICカード
(＋暗証番号)
カード・暗証番号を
予め生成して登録
本人の持つものと記憶を利用
磁気カードに代わるもの
非接触型のカードもあり
読取装置が必要
カードの盗難(暗証番号忘却)
なりすまし
ユーザID
＋ワンタイム
パスワード
IDは予め生成して登録
パスワードは
リアルタイムに変更
パスワード・暗証番号は
使い捨て
パスワード生成器が必要
パスワード生成器の盗難
なりすまし
生体認証
(指紋・静脈)
本人による登録
本人の身体的な特徴を利用
なりすましは困難
登録に本人が必要
読取装置が必要
心理的抵抗感
誤認識の問題

4. 社団法人私立大学情報教育協会
認証に関する社会の動向
 銀行⇒資産を守るために厳密な認証が必要
 ATMの利用に生体認証を導入
 ネットバンキングにワンタイムパスワードを導入
 鉄道⇒短時間に多くの認証が必要
 偽造が難しい非接触ICカードを導入
 ショッピング⇒購買に付加価値を与え同業他社との差別化
 電子マネーとして非接触ICカードを導入
 企業⇒情報漏洩対策としてユーザ認証を強化
 業務用端末の利用にICカードを導入
 重要区域への入退室管理に指紋認証を導入

5. 社団法人私立大学情報教育協会
大学における認証の現状
 コンピュータ室ではID＋パスワード
 パスワードの事前登録・配布・忘却対策・再設定
 事務端末では?
 ID＋パスワード
 情報漏洩対策として認証を強化
 研究室のPCでは?
 管理が難しい
 先生、本当に大丈夫ですか?

6. 社団法人私立大学情報教育協会
大学における
ユーザ認証
「事前アンケートの結果」

7. 社団法人私立大学情報教育協会
学生証・教職員証の形態は？
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
学生証
教職員証
紙
磁気カード
ICカード
その他

8. 社団法人私立大学情報教育協会
次の項目・サービスに対する認証方法は？
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
食堂・売店
証明書発行
図書の貸し出し
授業の出欠席
コンピュータ室
e-Learning
無線LAN(情報コンセント)
電子メール
ポータルサイト
履修登録
鍵の貸し出し
重要区域への入退室管理
学籍情報
勤務管理
事務用PC
グループウェア
VPN
会計処理
人事情報
成績処理
研究業績
研究室のPC
認証せず
対面
ユーザID
磁気カード
ICカード
生体認証

9. 社団法人私立大学情報教育協会
学生・教員がコンピュータ室を、職員が事務用PCを利用する際のID(ユーザ名)は？
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
学生
教員
職員
？？番号
専用の文字列
任意
その他
電子メールを利用する際のID(ユーザ名)は？
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
学生
教員
職員
？？番号
専用の文字列
任意
その他

10. 社団法人私立大学情報教育協会
パスワードの初期値の生成方法は？
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
学生
教員
職員
本人が決める
本人の生年月日
本人に関する情報から生成
ランダムな文字列
その他
パスワードの配布方法は？
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
学生
教員
職員
申請に基づき発行
入学手続きと同時に発行
利用講習会受講時に発行
その他

11. 社団法人私立大学情報教育協会
パスワード変更のルールは？
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
学生
教員
職員
定期的な変更を強制
任意で変更可能
変更を認めていない
その他

12. 社団法人私立大学情報教育協会
パスワードの再設定の対応は？
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
学生
教員
職員
即時(～10分以内)
その日のうち(～数時間)
翌日以降
１週間後以降
その他
パスワードの再設定時の文字列は？
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
学生
教員
職員
本人が決める
ランダムな文字列を生成
初期値に戻す
その他

13. 社団法人私立大学情報教育協会
今後、次の項目に対する認証方法を変更する予定または検討中のものはありますか? ある場合はどの方法ですか?
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
食堂・売店
証明書発行
図書の貸し出し
授業の出欠席
コンピュータ室
e-Learning
無線LAN(情報コンセント)
電子メール
ポータルサイト
履修登録
鍵の貸し出し
重要区域への入退室管理
学籍情報
勤務管理
事務用PC
グループウェア
VPN
会計処理
人事情報
成績処理
研究業績
研究室のPC
予定なし
ユーザID
磁気カード
ICカード
生体認証
その他

14. 社団法人私立大学情報教育協会
大学における認証の今後
 認証が必要な場面は拡大
 ポータルサイト
 履修登録のWeb化
 情報漏洩対策
 ICカードを導入して学内に展開
 パスワードを使うことの限界
 パスワード忘却対策
 簡単なパスワードの設定
 なりすまし
 新たな認証技術への期待

15. 社団法人私立大学情報教育協会
おわり

16. 社団法人私立大学情報教育協会
何のために認証を行うのか
 サービスの正当な利用者であることを確かめるため
 サービスのリスクに応じた認証の仕組みが必要
 人的コスト・作業コスト削減のため
 (例)銀行のCD/ATM，電車の自動改札
 情報漏洩対策の一環として認証を強化
 業務用端末(と外部記憶媒体)の利用
 重要区域での入退室管理

17. 社団法人私立大学情報教育協会
認証技術に求められること
 確実に、本人(サービスの提供が許可されて
いる人)であることを確認できること。
 そのために必要な時間は短いほうがのぞまし
い。
 人的・経済的コストは低いことが望ましい。

18. 社団法人私立大学情報教育協会
大学における認証の必要性
 学生に教育を提供するため
 学生生活の基盤を提供するため
 大学における教育研究活動を行なうため
 大学運営の基幹業務を行うため
 大学関係者の個人情報を守るため